Talos 团队将其称之为“VPNFilter”,结合“VPNFilter”近日的攻击特点,研究发现该恶意软件的代码与BlackEnergy恶意软件的版本重叠,该型恶意软件主要出现在针对乌克兰网络设备的多次大规模攻击。
虽然这无法确定,但思科也观察到“VPNFilter”恶意软件,迅速的攻击感染了乌克兰的网络基础设施。思科通过与合作伙伴的合作调查,估计至少54个国家/地区遭到恶意软件的入侵,受感染的网络设备已经超过500000台。据思科介绍,如今已知受“VPNFilter”影响的设备包含小型和家庭办公室(SOHO)空间中的linksys、MikroTik、NETGEAR和TP-link网络设备以及QNAP网络附加存储(NAS)设备。
暂时还未发现其他网络设备受到感染,“VPNFilter”恶意软件为一种模块化平台,可支持多种功能,支持情报收集还可实施网络破坏等。目前思科的研究仍在继续,此类恶意软件在网络设备上的行为尤其令人担心,因为“VPNFilter”恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议,可以使受感染的设备失灵,也可以利用被感染设备组建僵尸网络,具有极强的破坏性力。
综合这些因素,思科决定公布这些研究成果。虽然目前团队还未最终完成实验研究,也没有确定威胁如何利用受影响的设。思科安全部门相信由于高级威胁行为者往往只使用实现目标所需的最低资源,所以才果断的决定提前分享他们的调查结果,以便受害者及潜在受害者及时采取适当的方式进行安全防御。
